Elastic Security Reseñas y Detalles del Producto

Lo que más me gusta de Elastic Security es la flexibilidad y profundidad que ofrece en SIEM, endpoint y observabilidad en una sola plataforma. Puedo ingerir casi cualquier fuente de datos, normalizarla a ECS y construir detecciones que realmente reflejen cómo funciona nuestro entorno, en lugar de forzar nuestros flujos de trabajo a adaptarse a una herramienta rígida. La visibilidad, correlación y personalización lo hacen especialmente poderoso para operaciones SOC del mundo real y entornos complejos. Reseña recopilada por y alojada en G2.com.

Lo que no me gusta de Elastic Security es la curva de aprendizaje y la sobrecarga operativa, especialmente para los equipos nuevos en Elastic Stack. Obtener el máximo valor requiere un fuerte conocimiento de ECS, pipelines de ingesta y ajuste de clústeres, y algunos casos de uso avanzados aún implican una cantidad considerable de configuración manual. La flexibilidad es poderosa, pero puede ser abrumadora sin recursos experimentados o un buen diseño inicial. Reseña recopilada por y alojada en G2.com.

Elastic Security se destaca por sus potentes capacidades de detección y su profunda visibilidad a través de endpoints y registros, mientras que sigue siendo relativamente fácil de usar una vez que se comprenden los flujos de trabajo. La implementación es fluida en entornos que ya utilizan la pila de Elastic, y las integraciones con herramientas existentes son flexibles y están bien documentadas. La plataforma ofrece un conjunto rico de características para la detección de amenazas, búsqueda y respuesta que se escala bien para las operaciones de SOC. El soporte al cliente y los recursos de la comunidad son sólidos, lo que hace que la resolución de problemas sea manejable. En general, es una plataforma densa en características, frecuentemente utilizada, que equilibra la capacidad avanzada con la usabilidad práctica. Reseña recopilada por y alojada en G2.com.

La curva de aprendizaje puede ser empinada al principio, especialmente al ajustar las detecciones y gestionar funciones avanzadas sin experiencia previa en Elastic. Reseña recopilada por y alojada en G2.com.

Creo que una de las mejores cosas de Elastic es el gran conjunto de reglas predefinidas creadas por la propia Elastic.

También me gusta cómo el análisis y el mapeo son realmente fáciles de seguir e implementar, especialmente cuando puedes encontrar una integración que ya está creada para la tecnología que necesitas monitorear. Reseña recopilada por y alojada en G2.com.

Lo que más echaba de menos era un SOAR adecuado. Aún no he probado los flujos de trabajo, pero tengo grandes expectativas para ellos.

En el pasado, probamos el asistente de IA en la primera versión y nos sentimos un poco decepcionados. Hoy en día, creo que ha mejorado bastante.

Otra cosa que he notado últimamente es que al usar y correlacionar diferentes fuentes de registros, especialmente a través de las integraciones de Elastic, a veces encuentro campos que deberían coincidir pero no lo hacen. Por ejemplo, Source.ip vs client.ip, o user.name vs source.user.name. Esta inconsistencia ha hecho que sea bastante difícil correlacionar la inteligencia de amenazas con los paneles. Reseña recopilada por y alojada en G2.com.

La característica destacada de Elastic Security es la velocidad y flexibilidad de KQL y ES|QL. En búsquedas de amenazas de alto riesgo, poder pivotar a través de conjuntos de datos masivos con resultados casi instantáneos es crítico. La integración nativa de Elastic Defend es un segundo cercano; tener telemetría de endpoints y registros SIEM en un único esquema (ECS) elimina el "impuesto de traducción" que generalmente se requiere al mapear fuentes de datos dispares. Aunque el Asistente de IA es un gran impulsor de eficiencia para generar consultas complejas, el verdadero valor reside en la personalización de la plataforma. Reseña recopilada por y alojada en G2.com.

Uno de los principales desafíos con Elastic Security es la gran carga administrativa necesaria para mantener un entorno saludable. A diferencia de las soluciones SaaS "configurar y olvidar", Elastic requiere un constante "cuidado y alimentación" de las canalizaciones de ingesta, la gestión del ciclo de vida de los índices (ILM) y el mapeo de fragmentos. Si el mapeo no es perfecto, te enfrentas a explosiones de mapeo o campos no analizados que pueden hacer que los registros críticos sean invisibles durante una búsqueda. Esta complejidad a menudo convierte a un Analista de Amenazas en un Ingeniero de Datos a tiempo parcial solo para asegurar que los datos sean buscables.

Otro punto de dolor significativo es la pronunciada curva de aprendizaje de los nuevos lenguajes de consulta. Aunque ES|QL es poderoso, la transición desde KQL o Lucene crea una brecha temporal de eficiencia para el equipo. Además, la concesión de licencias y el consumo de recursos pueden ser impredecibles; dado que el precio se basa en el cómputo y el almacenamiento (RAM/CPU) en lugar de solo el volumen de datos o los asientos, una consulta mal escrita por un analista junior o un aumento repentino en el volumen de registros puede llevar a una degradación del rendimiento o costos de escalado inesperados que son difíciles de presupuestar en un SOC a gran escala.

Finalmente, las capacidades nativas de SOAR aún se sienten algo inmaduras en comparación con las plataformas dedicadas. Aunque existen acciones automatizadas básicas, construir libros de jugadas de respuesta complejos y de múltiples pasos, especialmente aquellos que involucran integraciones de terceros fuera del ecosistema Elastic, puede ser torpe y a menudo requiere herramientas externas para lograr una verdadera automatización. Para un flujo de trabajo DFIR de alto nivel, la gestión de casos incorporada también carece de algunas de las características de documentación forense más profundas necesarias para la cadena de custodia de evidencia, lo que nos obliga a depender de plataformas externas para informes formales. Reseña recopilada por y alojada en G2.com.

Me parece muy bien que Elastic Security ofrezca una buena visión de nuestro sistema. Podemos realizar buenos análisis porque operamos un SOC sin acceso directo a las máquinas, y para eso la función de defensa es muy útil. Además, la primera instalación de Elastic Security fue muy sencilla y clara. En general, estoy muy satisfecho y definitivamente le daría a Elastic Security una puntuación de 10 como recomendación a un amigo o colega. Reseña recopilada por y alojada en G2.com.

Inventario de la máquina qué parches están instalados Reseña recopilada por y alojada en G2.com.

Aprecio la capacidad de visualizar datos y convertirlos en inteligencia procesable con Elastic Security. Lo usamos para crear paneles que monitorean nuestra postura de seguridad, superficie de ataque y panorama de amenazas. La integración con nuestro sistema de gestión de incidentes es perfecta, y la configuración fue simple y directa. Elastic Security ha permitido a nuestro equipo realizar investigaciones de manera más eficiente. Reseña recopilada por y alojada en G2.com.

Encuentro desafiante construir reglas de secuenciación donde múltiples eventos deben ocurrir en orden durante un tiempo determinado. Reseña recopilada por y alojada en G2.com.

Puedes gestionar las alertas de una manera fácil. Desde el panel de alertas puedes tener toda la información necesaria para una investigación de seguridad. Además, con la función de casos, puedes crear tu propia base de datos de alertas. Reseña recopilada por y alojada en G2.com.

A veces, la carga es lenta y es difícil copiar campos y valores de las líneas de tiempo. Reseña recopilada por y alojada en G2.com.

Me gusta su flexibilidad, las reglas preconfiguradas y la gestión de casos integrada para compartir información. Reseña recopilada por y alojada en G2.com.

Al principio parece un poco complejo. Es una infraestructura grande, pesada y bastante compleja de mantener en las instalaciones. Reseña recopilada por y alojada en G2.com.

Elastic xpack security es excelente para conectarse con múltiples controladores de dominio o varios métodos de autenticación. Reseña recopilada por y alojada en G2.com.

todavía tiene algunos inconvenientes como el inicio de sesión anónimo, que es necesario desactivar por separado, de lo contrario será vulnerable Reseña recopilada por y alojada en G2.com.

Capacidad de EDR y soporte de K8 junto con SIEM Reseña recopilada por y alojada en G2.com.

Problemas con el agente elástico, a veces parece no estar en buen estado o bloquea acciones comerciales. Reseña recopilada por y alojada en G2.com.